宋燁楨

摘要：伴隨著內(nèi)部控制審計的不斷發(fā)展，對內(nèi)控審計的要求也隨之愈發(fā)嚴格，對于風險模型的需求也更加強烈。審計風險模型是管理風險的重要手段，可以在實務中幫助審計師對風險進行測量，同時也給審計資源的分配問題提供了很好的參考標準，指導審計人員把審計資源分配到風險較高的部分。本文研究企業(yè)內(nèi)部控制審計風險模型，旨在希望進一步減少審計風險，保證審計質(zhì)量并提高效率做點工作。

關鍵詞：內(nèi)部控制;審計風險模型

加強內(nèi)控審計，能夠幫助提供更為詳實的財務信息，對企業(yè)管理質(zhì)量的提升和運營風險的減少大有好處。內(nèi)部控制是預防財務信息錯誤和欺詐舞弊的首道大關，也是保障企業(yè)財務信息真實性和完整性的內(nèi)部機制。不完善的內(nèi)部控制管理制度，無法有效識別出潛在的舞弊造假行為，極有可能導致企業(yè)經(jīng)營活動的脫軌，最終造成不可估量的后果。內(nèi)部控制審計作為上市公司審計中必不可少的一部分，是預防內(nèi)控失控的關鍵環(huán)節(jié)。內(nèi)部控制審計本身由于其發(fā)展較晚，存在著實施難度大，相關從業(yè)人員能力和經(jīng)驗不足等問題，展開內(nèi)部控制審計仍然困難重重。內(nèi)控審計風險模型作為管理審計風險的重要工具，在審計過程中發(fā)揮著重大作用，因此，受到廣泛關注。

一、本文研究基礎

關于內(nèi)部控制風險的理論研究，成果累累。2007年國外專家就企業(yè)內(nèi)部控制成果展開實證分析，研究結(jié)果證明企業(yè)的經(jīng)營業(yè)績與內(nèi)部控制審計和執(zhí)行效果之間是正相關關系，也就是說內(nèi)部控制審計風險將會導致企業(yè)業(yè)績的波動。2010年又有專家對內(nèi)部控制審計進行了簡單的定義，即：實體存在審計師未發(fā)現(xiàn)的重大缺陷的風險，審計師不會在認為該風險未被控制到可接受水平的情況下對內(nèi)控發(fā)表無保留意見。2012年的研究觀點認為，由于內(nèi)控審計風險基本都基于注冊會計師的主觀判斷，這必然導致審計的效率和進度會受到審計師對審計風險的評估的左右。就此引出，一個設計合理的審計風險模型是審計人員控制和防范審計風險的有力工具。董麗英（2011）對內(nèi)控審計風險展開了探究，同時提出了其發(fā)展中仍需解決的問題，提出內(nèi)部控制審計風險防范的幾個路徑 。高玉榮（2011）指出防范內(nèi)部控制審計風險的具體措施主要是營造良好的審計環(huán)境、提高審計人員的素質(zhì)和風險意識、建立健全內(nèi)控審計質(zhì)量控制制度、合理設計并嚴格執(zhí)行審計程序、加強外部監(jiān)督、實施同業(yè)互查制度。陳艷華（2012）以內(nèi)控審計風險的概念為出發(fā)點，提出構(gòu)成內(nèi)控審計風險三個組成要素，并就如何進行風險防范展開了探討。叢蔚（2014）從審計師和被審計單位的角度分別對內(nèi)控審計風險的內(nèi)涵展開了討論，提出了自己的新見解。

關于內(nèi)部控制風險審計模型，專家們也發(fā)表了各種觀點。在對最早的風險模型進行改動后產(chǎn)生的，普遍認可度較高的傳統(tǒng)風險模型被表達為：審計風險=固有風險*控制風險*檢查風險。之后，IAASB對模型進行進一步完善，將風險要素改為重大錯報風險及檢查風險，以應對新的經(jīng)濟形勢。但在各國監(jiān)管機構(gòu)逐漸開始重視內(nèi)部控制審計并對其提出明確要求之后，審計人員發(fā)現(xiàn)在實務中但這一風險模型不直接適用于內(nèi)部控制審計。對內(nèi)部控制的審計涉及對過程的評估而對財務報表的審計涉及對產(chǎn)出的評價。此外，關于內(nèi)控的審計意見不受分析程序或?qū)毠?jié)的實質(zhì)性測試影響。正是因為這種概念上的差異等，傳統(tǒng)的審計風險模型不能直接作為內(nèi)部控制審計的概念框架。在意識到這一點之后，研究者開始試圖為內(nèi)部控制審計構(gòu)建一個合適且有效的審計風險模型。

2010年建立的內(nèi)部控制審計風險模型是基于重大缺陷的風險，而非重大錯報，他認為，只有在內(nèi)部控制的設計不足以應對固有風險，或內(nèi)部控制未得到充分執(zhí)行，或設計及執(zhí)行充分的內(nèi)部控制未能有效運作時才會產(chǎn)生重大缺陷。同時為了將內(nèi)部控制審計風險的概念區(qū)別開來，他創(chuàng)建了一個新術語：錯誤控制意見風險，即ICOR。最后為后來者提供思路，指出可以就COSO框架進一步對內(nèi)控審計風險模型進行拓展。

二、內(nèi)部控制審計風險模型分析

（一）內(nèi)部控制審計風險模型內(nèi)容分析

現(xiàn)有文獻研究涉及的風險模型包含有以下五種代表性研究結(jié)果：

1.內(nèi)部控制審計風險 = f（給定固有風險時內(nèi)部控制設計及實施風險;

2.內(nèi)部控制風險 = 固有風險 X控制設計及執(zhí)行風險 X 控制運作有效性風險;

3.內(nèi)部控制審計分析 = 固有風險 X 控制設計及執(zhí)行有效性風險

4.內(nèi)部控制審計風險 = 固有風險 X 內(nèi)部控制設計及運行風險 X 內(nèi)部控制評價風險;

5.內(nèi)部控制審計風險 = 控制設計和執(zhí)行有效性風險 X 控制評價風險

因此，內(nèi)控審計風險模型主要由風險要素構(gòu)成，大部分學者對其界定都來自對內(nèi)控審計風險的涵義的理解，以可能出現(xiàn)重大缺陷的情況為出發(fā)點來提取風險要素。

（二）本文的審計風險模型設計

本文的審計風險模型設計如下：

內(nèi)部控制審計風險= 固有風險 X 控制設計及執(zhí)行有效性風險X 控制評價風險

其中，固有風險指獨立于審計過程，在被審計單位經(jīng)營過程中固有的風險。同時具有兩個特點：一是不受注冊會計師影響，只能通過適當審計程序?qū)逃酗L險加以分析以此評估固有風險水平;二是固有風險會受到諸多復雜因素影響，但是不包括審計師的工作。固有風險本身不受到審計師影響，但審計師的主觀判斷會很大程度上影響對于固有風險水平的評估。固有風險的高低將影響對內(nèi)控設計及執(zhí)行有效性的評估，作為判斷其有效性的重要依據(jù)，審計師必須慎重考慮在內(nèi)控不存在的情況下，可能會引發(fā)哪些問題。若固有風險本身較低，則對控制的需求不高，此時即使控制存在不足，也不太可能引發(fā)較高的審計風險。伴隨著固有風險的上升，則對控制的需求隨之增加，需要對內(nèi)控設計及執(zhí)行風險進行更加嚴格謹慎的評估，同時也需要充分的控制來識別和防范審計風險。而控制被充分設計和執(zhí)行是對控制運作有效性評估的充分條件，也只有當控制被充分設計和執(zhí)行后，審計人員才會展開相關的控制測試。設計和執(zhí)行得越充分，可能會導致的審計風險越低，反之亦然。gzslib202204011318

而內(nèi)控設計及執(zhí)行有效性風險受到內(nèi)控有沒有設計得當、是否執(zhí)行以及執(zhí)行是否有效幾個因素影響，是被審計單位導致的，注冊會計師在對其風險水平進行評估時需要考慮到設計不當及合理設計后沒有執(zhí)行或執(zhí)行不佳等情況。

內(nèi)部控制審計評價風險在注冊會計師對企業(yè)的內(nèi)部控制設計和執(zhí)行效果展開評估時發(fā)生，是由注冊會計師引起的，在進行了相關審計程序之后仍未發(fā)現(xiàn)存在的問題的可能性。注冊會計師可以通過設計合適的審計程序來降低評價風險。內(nèi)控評價風險同時受到其余兩個風險要素的影響，審計師應當基于對兩者的判斷，來確定可以被接受的評價風險的水平。同時審計人員也可以設計有效的審計程序?qū)υu價風險加以控制。但評價風險本身受到主客觀因素影響，可以通過相關手段減少但無法徹底消除。

內(nèi)部控制審計風險模型要素之間是相互獨立而又互相影響的，而要素間也存在排列的時間邏輯，在對固有風險進行適當評估之后，才會考慮設計和執(zhí)行風險，與此同時通常需要根據(jù)前兩者來決定評價風險的高低。要素間依次遞進，互相關聯(lián)，是模型本身的邏輯關系與審計流程一致性的體現(xiàn)。

三、現(xiàn)有風險模型應用局限性分析

基于上述對內(nèi)部控制審計風險模型的風險要素及其內(nèi)在關系的總結(jié)分析，可以發(fā)現(xiàn)在模型的實際應用中仍然存在著不可忽視的局限性：

1.缺乏統(tǒng)一的模型標準

首先我國內(nèi)控審計相關的法律法規(guī)還存在空白，已經(jīng)出臺的準則和指導意見的法律約束力不足。仍缺乏相關文件對企業(yè)和審計師應遵循的規(guī)定進行明確要求，導致企業(yè)和注冊會計師雙方在行為遵循方面不統(tǒng)一。

2.固有風險評估存在較大局限性

對于固有風險的定義側(cè)重于重大錯報，而非重大缺陷。在對固定風險進行評估時，審計人員個人的職業(yè)判斷和經(jīng)驗將對評估結(jié)果產(chǎn)生較大影響，主觀性較強，所以很難進行有效的定量分析。因為固有風險難以評估的特點，實務中審計師常常假設被審計單位的內(nèi)控環(huán)境良好或其員工的個人能力較高或者直接簡單地將固有風險識別為高風險，而這些假設往往是錯誤的，會極大地限制之后的審計工作，由于未對固有風險進行整體上的把握導致對審計風險的整體評估不當.。

3.依賴于審計人員的個人能力

內(nèi)部控制審計風險模型本身是一個定性的模型，很難進行有效的定量分析，在利用模型實施審計程序的過程中，需要審計人員對各風險要素展開大量的判斷和評估，這對審計人員的個人能力提出了更高要求，要求注冊會計師在具備足夠的專業(yè)能力和技能的同時，也必須保持較強的分析判斷的能力。審計師個人能力的水平高低，將直接影響到內(nèi)控審計的最終結(jié)果，也對其是否能發(fā)揮風險管理作用起到關鍵影響。內(nèi)部控制審計模型在使用過程中對使用者即審計人員個人能力的高度依賴，可能致使在實際的審計實務當中，由于審計人員的能力不足或經(jīng)驗缺乏的原因，導致無法識別出存在重大缺陷的部分及被審計單位的舞弊行為，致使審計失效，造成嚴重后果。

四、研究建議

1.對固有風險進行量化排序

從內(nèi)部控制審計固有風險的特征可以看出，固有風險是企業(yè)內(nèi)在的一種獨立存在的風險，審計人員是無法在審計過程中通過人為干涉進行消除的。但是審計人員可以通過收集和分析有關的信息，以獲得足夠的審計證據(jù)，來幫助對固有風險展開評估。

在對固有風險進行衡量時，判斷依據(jù)一般基于審計人員的職業(yè)判斷，且沒有明確科學的方法和工具，目前能努力的方向只有盡量多地列出可能影響固有風險的因素，在審計過程中通過參考這些因素來判斷固有風險水平。審計人員可以在內(nèi)部控制評估開始之前，根據(jù)企業(yè)的內(nèi)部控制自我評價報告，在對企業(yè)的固有風險進行了解總結(jié)之后，根據(jù)企業(yè)內(nèi)外部環(huán)境對風險按其可能對企業(yè)實現(xiàn)目標造成的影響的程度進行量化排序，再根據(jù)這個排序?qū)χ匾娘L險部分展開評估，以便進一步展開審計程序。通過對固有風險進行量化排序，可以便于幫助審計人員進行審計資源分配，保證高風險部分得到足夠關注，以降低審計風險，提高效率。

2.培養(yǎng)個人能力

對審計人員個人而言，在專業(yè)能力上，要熟悉相關會計準則，在審計過程中遵循準則要求展開審計活動。同時保持持續(xù)學習的能力，不斷加強后續(xù)教育，實時跟進準則的新發(fā)展新進步，主動學習審計相關的法律法規(guī)。拓寬個人知識面，避免將個人知識背景局限在會計審計領域，不斷更新自己的知識儲備，提高理解、總結(jié)和分析判斷的能力。在職業(yè)操守方面，始終對自己的職業(yè)道德水準保持高要求，堅守職業(yè)道德準則，提高思想素質(zhì)，不斷強化職業(yè)道德，保持作為審計人員的職業(yè)懷疑態(tài)度，樹立風險意識，對審計風險保持高度敏感和謹慎。

參考文獻：

[1]董麗英.內(nèi)部控制審計風險研究[J].經(jīng)濟與管理，2011（10）.

[2]高玉榮.內(nèi)部控制審計風險[J].財會研究，2011（09）.

[3]陳艷華.淺析企業(yè)內(nèi)部控制審計風險[J].財政監(jiān)督，2012（02）.